1 JAXA IV&V の概要 ~IV&V と評価戦略可視化の関係 ~ 2016 年 01 月 19 日 国立研究開発法人宇宙航空研究開発機構研究開発部門第三研究ユニット Copyright 2015 JAXA all rights reserved.

JAXA IV&Vの概要

～IV&Vと評価戦略可視化の関係～

Copyright © 2015 JAXA all rights reserved.

2016年01月19日 国立研究開発法人 宇宙航空研究開発機構 研究開発部門 第三研究ユニット

本発表の目的

1.

JAXA IV&Vでは、なぜソフトウェア品質や評価

戦略の可視化が必要であったのか理解する

2.

JAXA IV&Vで利用している、GSN（Goal

Structuring Notation）を拡張した可視化手法を

紹介し、IV&Vコンテストの成果物を見るための

前提知識を得る

目次

第1章 本発表の前提 1-1 宇宙機ソフトウェアの開発 1-2 アシュアランスケース等の導入における課題 第2章 JAXA IV&Vの特徴 2-1 JAXA IV&V とは？ 2-2 論理の可視化の必要性と効果 第3章 JAXA IV&Vの戦略可視化手法 3-1 ワークフローにおける可視化対象 3-2 評価戦略の概要 3-3 評価戦略の見方

内部 品質 外部 品質 SW内部特徴の品質 （例：モジュール性、追跡可能性） SW実行時の品質 （例：テスト実行結果） 利用時の品質 開発手順や方法 プロセス 品質 利用時_品質

 ソフトウェア品質＝ISO/IEC25000シリーズの

ソフトウェア品質モデル

本発表の前提①

 品質保証活動の一つとしてV&VやIV&Vがある

影響 影響 影響 依存 依存 依存

 姿勢制御、データ処理、セン サー類など組込み系が中心  アセンブラ、C言語  再利用／シリーズ化  放射線の影響  管制システム  安全性  C、JAVA言語  管制システム、マニュピュ レータ、実験装置など膨大な 数のソフトウエア  高い安全要求  システム構成に人が入る  Ada、C言語  宇宙ステーション  人工衛星  ロケット  航法誘導制御系等  高信頼性／多数決  アセンブラ、C言語  リアルタイム性  地上管制システム © JAXA © JAXA © JAXA © JAXA

1-1. 宇宙機ソフトウェアの開発

アリアン5型の打上げ失敗

（1996

年

）

• アリアン4型の慣性基準装 置ソフトウェアにおいて使 用環境の変化に対する考 慮漏れあり。 • 経済損失：

80億

ドル

© JAXA 【プロセス品質】 • システムズエンジニ アリングの適用 • プロセスアセスメン ト 【内部品質】 • レビュー、ウォーク スルー • ハザード解析 • 第三者検証 （IV&V） 【外部品質】 • ソフトウェアテスト • レビュー • 解析 • 第三者検証 （IV&V） 【利用時品質】 • システムズエンジ ニアリングの適用 • 訓練、マニュアル

1-1. 宇宙機ソフトウェアの開発

 開発失敗を防ぐために品質保証に関わる数々の

活動が行われる

 アシュアランスケース等の導入には、下記のような課題

1-2.アシュアランスケース等の導入における課題

作成者 作るのが面倒だ 作り方がわからない レビュー者 ツリーが大きくて 読む気にならない レビュー者 記載内容の意味がわか らないからレビュー 出来ない 多数のメンバー 図を書くことで得られる 恩恵が分からない

目次

第1章 本発表の前提 1-1 宇宙機ソフトウェアの開発 1-2 アシュアランスケース等の導入における課題 第2章 JAXA IV&Vの特徴 2-1 JAXA IV&V とは？ 2-2 論理の可視化の必要性と効果 第3章 JAXA IV&Vの戦略可視化手法 3-1 ワークフローにおける可視化対象 3-2 評価戦略の概要 3-3 評価戦略の見方

 IV&V誕生の経緯

 NASAでは、スペース シャトル「チャレンジャー」 事故の事故調査を経て、 IV&Vプログラムを設立 （1993年）  JAXAでは、宇宙ステー ション計画の参加国合意 文書においてソフトウェア IV&Vを要求され、試行錯 誤で開始（1995年） 出典: JAXA/NASA

I

ndependent

V

erification and

V

alidation ソフトウェアの独立検証と妥当性確認

ソフトウェアを開発する組織から技術面、組織面、及び資

金面で独立している組織が実施する検証と妥当性確認

2-1. JAXA IV&Vとは？

技術的独立

資金的独立

組織的独立

方式設計 詳細設計 要件定義 SW適格性確認テスト SW結合テスト SW単体テスト 構築 内部 品質 外部 品質 SW内部特徴の品質 SW実行時の品質 利用時の品質 開発手順や方法 IV&Vの保証範囲  JAXAにおけるIV&V活動の保証範囲、評価対象 プロセス 品質 利用時_品質

2-1. JAXA IV&Vとは？

試験 文書まで ソフトウェア 品質モデル （ISO/IEC25010: 2013より） V字モデル _{実際の評価対象}

 品質に対する説得力  責任の所在の明確化 例えば多様な機器が連携する システムにおいては、第三者 による客観的な独立評価で以 下の効果あり A社 B社 私達に 問題はない 私達に 問題はない 第三者 事故の原因、責任はXXです 事故発生

2-1. IV&Vとは？

 独立であることの効果

2-1. IV&Vとは？

第三者 経験豊かな私が評価 したので多分大丈夫 です。 この様な理由と根拠により、 問題があると考えます。 客観性の欠如 論理的、具体的な説明

評価結果の論理的な説明が重要

 第三者による評価なので、評価結果を根拠をもって論理的に 顧客に説明できなければいけない

 見えないもの  頭の中から引っ張り出さなければならない 思考の可視化の例（ロジックツリー）

論理とは

「思考の形式・法則。議論や思考を進める道筋・論法。」 （三省堂 大辞林）

1.

リスクベースで評価

問題が潜在する可能性が高い箇所を識別し、独自に抽出したリ スクに対して評価 2.

論理的な網羅性をもってリスクおよび問題

の有無を確認

2-2. 論理の可視化の必要性と効果

IV&Vでは「独立」組織として価値を出すため、

以下が特徴

上記の実現には、何をどう考えて評価したか（＝戦略）

を可視化することが必須

 拡張したGSNの導入による効果

2-2. 論理の可視化の必要性と効果

・何をしてくれたのか分かる ・GSNの蓄積によりPDCAが回っ ているように見える（安心感） ステークホルダ IV&V担当 新IV&V担当 IV&V後に 不具合 発生 評価の視点が偏っている ・当時何を評価したのか分かる ・どうすれば不具合を防げたのか の考察、報告が簡単！

目次

第1章 本発表の前提 1-1 宇宙機ソフトウェアの開発 1-2 アシュアランスケース等の導入における課題 第2章 JAXA IV&Vの特徴 2-1 JAXA IV&V とは？ 2-2 論理の可視化の必要性と効果 第3章 JAXA IV&Vの戦略可視化手法 3-1 ワークフローにおける可視化対象 3-2 評価戦略の概要 3-3 評価戦略の見方

3-1.ワークフローにおける可視化対象

 評価戦略と評価結果が可視化対象 問題候補の羅列 リスク評価 問題／リスクに対する検証戦略 リスク導出経緯、 保証シナリオの蓄積 問題と検証戦略の セットの蓄積 問題候補の蓄積 （リファレンスモデル） 抽象化 汎用化

A

蓄積改善

C

結果分析

D

評価作業

P

計画立案 IV&Vプロジェクト実施結果の分析 リスク評価 尺度 評価作業/結果分析 （評価結果） 追加 システム分析 基本 システム分析 評価対象となる問題の確定 （リスク導出経緯）

ロジックツリーの 精度が十分である。 プロダクトのみに限 定。（プロセス除外） 構成要素を 単一と複数 単一ノードの 精度が十分である。 複数ノードの関係性の 精度が十分である。 内容と表現 単一ノードの 内容の精度がある。 単一ノードの表現 の精度がある。 1ノードの構成要素は、 内容と表現 水平階層 上位下位 同一階層の分類基 準が合っていない。 上位ノードに対し、下位 ノードの精度が低い。 2つのノード間の 直接的な関係に限定 ロジックツリーは、 ノードと線で構成

3-2. 評価戦略の概要

 JAXA IV&Vでは、GSNを拡張した表現を利用

• GSN ： Goal Structuring Notation

• GSNはアシュアランスケースを表現する技法 上位主張 論拠 下位主張 論拠 下位主張 なぜそう 思ったか なぜそう 思ったか

ノード名 記号 説明 ゴール 自分の主張の結論。最上位の結論は「トップ ゴール」、戦略の下位に位置する結論は「サブ ゴール」とよぶ。 ストラテジー 上位の結論と下位の結論を分解するための 説明、視点、方法。 コンテキスト ゴールとストラテジーの前提、根拠や補足事 項。結論／説明を設定するための前提情報 や根拠、説得相手との合意事項を記載する。 エビデンス 結論（自分の主張）が達成されていることを示 す証拠。 主張 （ゴール） 前提 （方法・ 根拠） 戦略 （方法・ 根拠） 証拠 （根拠）

3-2. 評価戦略の概要

 GSNの表記方法（基本記号）

• 真偽を判定する材料 • 主張が成立する事を 支える事実 • 自分の意見、考え • 結論 • 主張に対して真偽を 判定する切り口 トゥールミンロジック （簡略化） 評価戦略（GSN）の構造 （一例） 前提 （根拠・方法） 前提 （根拠・方法） 事実 根拠 主張 論拠 証拠 （根拠） 戦略 （方法・根拠） 上位主張 （結論） 下位主張 （結論）

■ 評価戦略はトゥールミンロジックと対応

3-2. 評価戦略の概要

評価したか（するか）という方針

■ 評価戦略はリスク導出経緯と検証戦略で構成

IV&VでSWを評価し 「リスクが無い」ことを言う 何を（何について） どのように （どのポイントについて） ↑ そのためには… 評価の元となる情報 （エビデンス） ＋ 証拠 根拠 主張 リスク導出経緯 検証戦略 IV&V保証事項 （SWリスク低減） SWリスク （SW不具合要因） 観点選択の 根拠 システム 仕様情報 リスク導出 観点 分析結果 （開発成果物） 評価目的 観点選択の 根拠 SW仕様情報 評価観点 評価項目 （判定基準） 1:1対応 を合せて言うことが必要 （＝どう主張をするかの戦略） ＋

3-2. 評価戦略の概要

 評価戦略の例

3-3.評価戦略の見方

上位主張

登山靴の設計に懸念 （リスク）がある

論拠

靴自体のリスクを構造と 素材に分けて捉える

根拠

靴の内部品質として考えられる のは「構造」と「素材」

上記を判断するには・・・？

3-3.評価戦略の見方

 深く分析されているか？  広く分析されているか？  重複なく論理展開されているか？  偏りなく論理展開されているか？  評価戦略を見るポイントの例 次ページへ

1. 二項対立な事項で分解 例： ハードとソフト、ミクロとマクロ、変動と固定、質と量 2. 重要な機能を抽象化 （もれなく、だぶりなく） 例： 登山靴： 構造 – 素材 スポーツ精神： 心 – 技 – 体 3. ある前提において抽出される特徴 例： レストラン（一般）： 価格 – おいしさ – 店の雰囲気 レストラン（和食）： 旬の食材 – ダシ – 器

3-3.評価戦略の見方

 論理展開が網羅的かを判断する基準の例として、下記が 挙げられる

本発表のまとめ

 JAXA IV&Vでは「独立」という性質から、 何をどのように考えて評価を行ったのかの論理（＝ 戦略）を可視化する必要があった。  JAXA IV&Vで利用しているGSNを拡張した可視化 手法を紹介した。コンテスト成果物の詳しい見方に ついては、次の発表でご紹介します。